Aracılığıyla paylaş

Şirket içi JavaScript uygulamalarından Azure kaynaklarında kimlik doğrulaması

  • Makale

Azure dışında çalışan uygulamalar (örneğin şirket içi veya üçüncü taraf veri merkezinde), Azure kaynaklarına erişirken Azure'da kimlik doğrulaması yapmak için bir uygulama hizmet sorumlusu kullanmalıdır. Uygulama hizmeti sorumlusu nesneleri, Azure'da uygulama kayıt işlemi kullanılarak oluşturulur. Uygulama hizmet sorumlusu oluşturulduğunda, uygulamanız için bir istemci kimliği ve istemci gizli dizisi oluşturulur. JavaScript için Azure SDK'sının uygulamanızın çalışma zamanında Azure'da kimliğini doğrulamak için ortam değişkenlerini kullanması için istemci kimliğini, istemci gizli dizisini ve kiracı kimliğinizi ortam değişkenlerinde depolarsınız.

Uygulamanın çalıştığı her ortam (test, aşama, üretim gibi) için farklı bir uygulama kaydı oluşturulmalıdır. Bu, her hizmet sorumlusu için ortama özgü kaynak izinlerinin yapılandırılmasına olanak tanır ve bir ortama dağıtılan bir uygulamanın başka bir ortamın parçası olan Azure kaynaklarıyla konuşmadığından emin olun.

1 - Uygulamayı Azure'a kaydetme

Bir uygulama Azure portalı veya Azure CLI kullanılarak Azure'a kaydedilebilir.

Azure portalında oturum açın ve şu adımları izleyin.

Yönergeler Ekran görüntüsü
Azure portalında:
  1. Azure portalının üst kısmındaki arama çubuğuna uygulama kayıtlarını girin.
  2. Arama çubuğunun altında görüntülenen menünün Hizmetler başlığı altında Uygulama kayıtları etiketli öğeyi seçin.
 A screenshot showing how to use the top search bar in the Azure portal to find and navigate to the App registrations page.
Uygulama kayıtları sayfasında + Yeni kayıt'ı seçin. A screenshot showing the location of the New registration button in the App registrations page.
Uygulamayı kaydet sayfasında formu aşağıdaki gibi doldurun.
  1. Ad → Azure'da uygulama kaydı için bir ad girin. Bu adın, uygulama kaydının için olduğu uygulama adını ve ortamı (test, üretim) içermesi önerilir.
  2. Desteklenen hesap türleri yalnızca bu kuruluş dizinindeki Hesaplar →.
Uygulamanızı kaydetmek ve uygulama hizmet sorumlusunu oluşturmak için Kaydet'i seçin.		 A screenshot to fill out Register by giving the app a name and specifying supported account types as accounts in this organizational directory only.
Uygulamanızın Uygulama kaydı sayfasında:
  1. Uygulama (istemci) kimliği → Bu, uygulamanızın yerel geliştirme sırasında Azure'a erişmek için kullanacağı uygulama kimliğidir. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın çünkü sonraki bir adımda ihtiyacınız olacak.
  2. Dizin (kiracı) kimliği → Bu değer, Azure'da kimlik doğrulaması yaparken uygulamanız tarafından da gerekli olacaktır. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın, gelecekteki bir adımda da gerekli olacaktır.
  3. İstemci kimlik bilgileri → Uygulamanızın Azure'da kimlik doğrulaması yapıp Azure hizmetlerini kullanabilmesi için önce uygulamanın istemci kimlik bilgilerini ayarlamanız gerekir. Uygulamanızın kimlik bilgilerini eklemek için Sertifika veya gizli dizi ekle'yi seçin.
 A screenshot of the App registration after completion. This screenshot shows the application and tenant IDs, which will be needed in a future step.
Sertifikalar ve gizli diziler sayfasında + Yeni istemci gizli dizisi'ni seçin. A screenshot showing the location of the link to use to create a new client secret on the certificates and secrets page.
İstemci gizli dizisi ekle iletişim kutusu sayfanın sağ tarafından açılır. Bu iletişim kutusunda:
  1. Açıklama → Geçerli değerini girin.
  2. Süresi doluyor → 24 aylık bir değer seçin.
Gizli diziyi eklemek için Ekle'yi seçin.

ÖNEMLİ: Gizli dizinin son kullanma tarihinden önce takviminizde bir anımsatıcı ayarlayın. Bu şekilde, bu gizli dizi sona ermeden önce yeni bir gizli dizi ekleyebilir ve uygulamalarınızı güncelleştirebilir ve uygulamanızda hizmet kesintisini önleyebilirsiniz.		 A screenshot showing the page where a new client secret is added for the application service principal created by the app registration process.
Sertifikalar ve gizli diziler sayfası, istemci gizli dizisinin değerini gösterir.

Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın çünkü sonraki bir adımda bu değere ihtiyacınız vardır.

ÖNEMLİ: Bu değeri yalnızca bu kez görürsünüz. Bu sayfadan ayrıldıktan veya sayfayı yeniledikten sonra bu değeri bir daha göremezsiniz. Bu istemci gizli dizisini geçersiz kılınmadan başka bir istemci gizli dizisi ekleyebilirsiniz, ancak bu değeri bir daha görmezsiniz.		 A screenshot showing the page with the generated client secret.

2 - Uygulama hizmet sorumlusuna rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirlemeniz ve bu rolleri uygulamanıza atamanız gerekir. Rollere kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında hizmet sorumlusu için rollerin nasıl atanacağı gösterilir.

Yönergeler Ekran görüntüsü
Azure portalının üst kısmındaki arama kutusunu kullanarak kaynak grubu adını arayarak uygulamanızın kaynak grubunu bulun.

İletişim kutusundaki Kaynak Grupları başlığının altındaki kaynak grubu adını seçerek kaynak grubunuza gidin.		 A screenshot showing the top search box in the Azure portal to locate and navigate to the resource group you want to assign roles (permissions) to.
Kaynak grubunun sayfasında sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin. A screenshot of the resource group page showing the location of the Access control (IAM) menu item.
Erişim denetimi (IAM) sayfasında:
  1. Rol atamaları sekmesini seçin.
  2. Üst menüden + Ekle'yi seçin ve ardından açılan menüden Rol ataması ekle'yi seçin.
 A screenshot showing how to navigate to the role assignments tab and the location of the button used to add role assignments to a resource group.
Rol ataması ekle sayfasında, kaynak grubu için atanabilecek tüm roller listelenir.
  1. Listeyi daha yönetilebilir bir boyuta filtrelemek için arama kutusunu kullanın. Bu örnekte, Depolama Blob rolleri için filtreleme gösterilmektedir.
  2. Atamak istediğiniz rolü seçin.
    Sonraki ekrana gitmek için İleri'yi seçin.
 A screenshot showing how to filter and select role assignments to be added to the resource group.
Sonraki Rol ataması ekle sayfası, rolü hangi kullanıcıya atayabileceğinizi belirtmenize olanak tanır.
  1. Erişim ata altında Kullanıcı, grup veya hizmet sorumlusu'natıklayın.
  2. Üyeler'in altında + Üyeleri seç'i seçin
Azure portalının sağ tarafında bir iletişim kutusu açılır.		 A screenshot showing the radio button to select to assign a role to a Microsoft Entra group and the link used to select the group to assign the role to.
Üye seç iletişim kutusunda:
  1. Seç metin kutusu, aboneliğinizdeki kullanıcı ve grupların listesini filtrelemek için kullanılabilir. Gerekirse, uygulamanın listeyi filtrelemesi için oluşturduğunuz hizmet sorumlusunun ilk birkaç karakterini yazın.
  2. Uygulamanızla ilişkili hizmet sorumlusunu seçin.
Devam etmek için iletişim kutusunun alt kısmındaki Seç'i seçin.		 A screenshot showing how to filter for and select the Microsoft Entra group for the application in the Select members dialog box.
Hizmet sorumlusu Rol ataması ekle ekranında seçili olarak gösterilir.

Son sayfaya gitmek için Gözden geçir + ata'yı seçin ve ardından işlemi tamamlamak için Gözden geçir + yeniden ata'yı seçin.		 A screenshot showing the completed Add role assignment page and the location of the Review + assign button used to complete the process.

3 - Uygulama için ortam değişkenlerini yapılandırma

Uygulama hizmeti sorumlusu kimlik bilgilerini çalışma zamanında uygulamanızın AZURE_CLIENT_IDkullanımına açmak için JavaScript uygulamanızı çalıştıran işlem için , AZURE_TENANT_IDve AZURE_CLIENT_SECRET ortam değişkenlerini ayarlamanız gerekir. DefaultAzureCredential nesnesi, bu ortam değişkenlerinde hizmet sorumlusu bilgilerini arar.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 - Uygulamada DefaultAzureCredential uygulama

Azure SDK istemci nesnelerinin kimliğini Azure'da doğrulamak için uygulamanızın DefaultAzureCredential @azure/kimlik paketindeki sınıfı kullanması gerekir.

İlk olarak uygulamanıza @azure/kimlik paketini ekleyin.

npm install @azure/identity

Ardından, uygulamanızda bir Azure SDK istemci nesnesi oluşturan tüm JavaScript kodları için şunları yapmak istersiniz:

  1. sınıfını DefaultAzureCredential modülden içeri aktarın @azure/identity .
  2. Bir DefaultAzureCredential nesne oluşturun.
  3. DefaultAzureCredential Nesnesini Azure SDK istemci nesnesi oluşturucusna geçirin.

Bunun bir örneği aşağıdaki kod kesiminde gösterilmiştir.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Yukarıdaki kod nesnesinin örneğini oluşturduğundaDefaultAzureCredential, DefaultAzureCredential ile Azure'a bağlanacak uygulama hizmeti sorumlusu bilgileri için , , AZURE_CLIENT_IDve AZURE_CLIENT_SECRET ortam değişkenlerini AZURE_SUBSCRIPTION_IDAZURE_TENANT_IDokur.